对等保2.0的理解

jvmao_

于 2024-10-08 20:56:12 发布

阅读量167

点赞数 4

文章标签：网络安全

本文链接：https://blog.csdn.net/jvmao_/article/details/142768931

版权

一、什么是等保2.0

等保2.0，即网络安全等级保护2.0，是中国在信息系统安全领域实施的一项基本制度。它根据网络和信息系统在国家安全、经济建设、社会生活中的重要程度，以及遭到破坏后可能对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的危害程度，将信息系统分为不同的安全保护等级。等保2.0的分级标准如下：

第一级（用户自主保护级）：

适用于对信息系统安全保护要求最低的基本级别，主要针对个人或小型组织使用的信息系统。

第二级（系统审计保护级）：

适用于需要保护的一般级别，主要针对提供公共服务的信息系统，如教育、医疗、金融等领域的信息系统。

第三级（安全标记级）：

适用于需要较高安全保护的信息系统，这类系统一旦遭受破坏，可能会对社会秩序、公共利益造成严重影响。

第四级（结构化保护级）：

适用于对安全保护要求较高的信息系统，这类系统通常涉及国家安全、经济运行等关键领域。

第五级（访问验证保护级）：

适用于对安全保护要求极高的信息系统，这类系统通常涉及国家关键基础设施，一旦遭受破坏，可能会对国家安全造成严重影响。

等保2.0的测评结论分为四个等级：

● 优（90分及以上）

● 良（80分及以上）

● 中（70分及以上）

● 差（低于70分）

70分以上才算基本符合要求，基本分调高了，测评要求更加严格。等保2.0相比1.0，不仅在标准上进行了修订和技术升级，还极大提升了法律效力，增加了对云计算、移动互联、物联网和工业控制系统的特殊安全要求，以适应新技术的发展和新威胁形势。

以上概括取自深信服

二、国家为什么需要网络安全等级保护

对于这个问题，我认为应该含有以下因素：

提高信息系统安全防护能力：通过等级保护工作，可以发现信息系统与国家安全标准之间的差距，查明安全隐患和不足，通过安全整改，提高信息系统的防护能力，降低被攻击的风险。
满足国家法律法规要求：我国《网络安全法》明确规定国家实行网络安全等级保护制度，网络运营者应按照等级保护要求履行安全保护义务。
响应行业主管单位要求：许多行业主管单位要求行业客户开展等级保护工作，如金融、电力、广电、医疗、教育、电子政务等。
规避风险：通过等级保护，可以合理规避风险。发生安全事件时，已开展等级保护工作的单位能更好地应对调查和处理。
适应新技术发展：随着云计算、大数据、物联网、移动互联等新技术的发展，等级保护制度2.0覆盖了这些新技术新应用，强化了安全保护。
保护关键信息基础设施：关键信息基础设施是经济社会运行的神经中枢，一旦遭到破坏可能严重危害国家安全和社会公共利益，因此需要重点保护。
提升网络安全综合防御能力：通过等级保护，可以构建国家网络安全综合防控体系，提高网络安全防护能力。
促进网络安全人才建设：加强网络安全工作，需要大量网络安全人才，等级保护工作有助于网络安全人才的培养和选拔。

三、等保2.0相较于等保1.0的区别

名称与法律效力的变化：
等保2.0的全称是《信息安全技术网络安全等级保护基本要求》，与《网络安全法》保持一致，而等保1.0的全称是《信息安全技术信息系统安全等级保护基本要求》等保2.0将等级保护制度的落实上升为法律义务，强化了其法律效力。
保护对象的扩展：
等保1.0主要保护对象是信息系统，而等保2.0除了信息系统外，还扩展到了云计算平台/系统、采用移动互联技术的系统、物联网、工业控制系统等。
控制措施分类的调整：
等保1.0中控制措施分为技术和管理两个方面，等保2.0中，技术要求调整为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心，管理要求调整为安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理。
内容的扩充：
等保1.0包括定级、备案、建设整改、等级测评和监督检查五个规定性动作。等保2.0在这些内容的基础上，增加了风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置等方面的要求。
测评要求的变化：
等保2.0中测评结论分为：优（90分及以上）、良（80分及以上）、中（70分及以上）、差（低于70分），提高了测评的严格程度。
强调“一个中心，三重防护”：
等保2.0特别强调了以安全管理中心为核心，以安全计算环境、安全区域边界和安全通信网络为三重防护体系的理念。
增加了针对新技术的扩展性要求：
等保2.0针对云计算、移动互联、物联网、工业控制系统等新技术提出了特殊的安全保护要求。
强化了可信计算：
等保2.0构建以可信计算技术为基础的等级保护核心技术体系，强化了可信体系的这一重要思想。
通用要求和扩展要求：
等保2.0将基本要求的内容变革为安全通用要求与安全扩展要求，以适应不同保护对象的特殊需求。

四、扩展要求

1.云计算安全扩展要求：
包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个部分。
针对云计算平台的安全架构、访问控制、入侵防范和安全审计等方面提出了详细的安全标准。

2.移动互联安全扩展要求：
对移动应用来源进行管理，实施软件白名单功能，控制应用软件的安装和运行。
包括无线边界控制、入侵防范、移动终端管理等内容。

3.物联网安全扩展要求：
针对物联网设备和系统的特殊性，提出了室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全等方面的要求。

4.工业控制系统安全扩展要求：
针对工业控制系统的实时性要求，提出了室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全等方面的要求。
包括室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制和控制设备安全等方面的要求。

5.大数据安全扩展要求：
对大数据平台提出了新的安全扩展要求，包括数据完整性、数据保密性等方面的具体要求。
等保2.0标准不仅覆盖了传统信息系统，还扩展到了网络基础设施、云计算平台、大数据平台、物联网、工业控制系统和采用移动互联技术的系统等多个领域，提出了相应的安全扩展要求。这些扩展要求旨在应对新技术带来的安全挑战，确保各类信息系统在不同业务场景下的安全性。